Cum să gestionați un atac ransomware – Blog IBM

Este o știre pe care nicio organizație nu vrea să o audă – ați fost victima unei Ransomware atac, iar acum te întrebi ce să faci în continuare. 

Primul lucru de care trebuie să ții cont este că nu ești singur. Peste 17% din toate atacurile cibernetice implică ransomware-un tip de malware care păstrează datele sau dispozitivul unei victime blocate, cu excepția cazului în care victima plătește o răscumpărare hackerului. Din cele 1,350 de organizații chestionate într-un studiu recent, 78% au suferit un atac ransomware de succes (linkul se află în afara ibm.com).

Atacurile ransomware folosesc mai multe metode sau vectori pentru a infecta rețele sau dispozitive, inclusiv păcălirea persoanelor să facă clic pe linkuri rău intenționate folosind Phishing e-mailuri și exploatarea vulnerabilităților din software și sisteme de operare, cum ar fi accesul la distanță. Infractorii cibernetici solicită de obicei plăți de răscumpărare în Bitcoin și alte criptomonede greu de urmărit, oferind victimelor chei de decriptare la plată pentru a-și debloca dispozitivele.

Vestea bună este că, în cazul unui atac de tip ransomware, există pași de bază pe care orice organizație poate să urmeze pentru a ajuta la limitarea atacului, pentru a proteja informațiile sensibile și pentru a asigura continuitatea afacerii reducând la minimum timpul de nefuncționare.

Răspuns inițial

Izolați sistemele afectate 

Deoarece cele mai comune variante de ransomware scanează rețelele pentru a detecta vulnerabilități care se propagă lateral, este esențial ca sistemele afectate să fie izolate cât mai repede posibil. Deconectați ethernetul și dezactivați WiFi, Bluetooth și orice alte capabilități de rețea pentru orice dispozitiv infectat sau potențial infectat.

Alți doi pași de luat în considerare: 

• Oprirea sarcinilor de întreținere. Dezactivați imediat sarcinile automate - de exemplu, ștergerea fișierelor temporare sau rotirea jurnalelor - sistemele afectate. Aceste sarcini pot interfera cu fișierele și pot împiedica investigarea și recuperarea ransomware-ului. 
• Deconectarea copiilor de rezervă. Deoarece multe tipuri noi de ransomware vizează backup-urile pentru a îngreuna recuperarea, păstrați backup-urile datelor offline. Limitați accesul la sistemele de rezervă până când eliminați infecția.

Fotografiați biletul de răscumpărare

Înainte de a continua cu orice altceva, faceți o fotografie a notei de răscumpărare – în mod ideal, fotografiend ecranul dispozitivului afectat cu un dispozitiv separat, cum ar fi un smartphone sau o cameră foto. Fotografia va accelera procesul de recuperare și va ajuta la depunerea unui raport de poliție sau a unei posibile reclamații la compania dumneavoastră de asigurări.

Anunțați echipa de securitate

După ce ați deconectat sistemele afectate, notificați-vă Securitate IT echipa de atac. În cele mai multe cazuri, profesioniștii în securitate IT vă pot sfătui cu privire la următorii pași și îi pot activa pe cei ai organizației dvs răspuns la incident plan, adică procesele și tehnologiile organizației dvs. pentru detectarea și răspunsul la atacurile cibernetice.

Nu reporniți dispozitivele afectate

Când aveți de-a face cu ransomware, evitați repornirea dispozitivelor infectate. Hackerii știu că acesta ar putea fi primul tău instinct, iar unele tipuri de ransomware notifică încercările de repornire și provoacă daune suplimentare, cum ar fi deteriorarea Windows sau ștergerea fișierelor criptate. De asemenea, repornirea poate îngreuna investigarea atacurilor ransomware - indicii valoroase sunt stocate în memoria computerului, care este ștearsă în timpul repornirii. 

În schimb, puneți sistemele afectate în hibernare. Acest lucru va salva toate datele din memorie într-un fișier de referință de pe hard disk-ul dispozitivului, păstrându-le pentru analize viitoare.

Eradicarea 

Acum că ați izolat dispozitivele afectate, probabil că sunteți dornic să vă deblocați dispozitivele și să vă recuperați datele. În timp ce eradicarea infecțiilor cu ransomware poate fi complicat de gestionat, în special tulpinile mai avansate, următorii pași vă pot porni pe calea către recuperare. 

Determinați varianta de atac

Mai multe instrumente gratuite vă pot ajuta să identificați tipul de ransomware care vă infectează dispozitivele. Cunoașterea tulpinii specifice vă poate ajuta să înțelegeți mai mulți factori cheie, inclusiv modul în care se răspândește, ce fișiere blochează și cum o puteți elimina. Încărcați doar o mostră din fișierul criptat și, dacă le aveți, o notă de răscumpărare și informațiile de contact ale atacatorului. 

Cele mai comune două tipuri de ransomware sunt dispozitivele de blocare a ecranului și dispozitivele de criptare. Blocarea ecranului vă blochează sistemul, dar vă păstrează fișierele în siguranță până când plătiți, în timp ce criptatorii sunt mai dificil de abordat, deoarece găsesc și criptează toate datele dvs. sensibile și le decriptează numai după ce efectuați plata răscumpărării. 

Căutați instrumente de decriptare

Odată ce ați identificat tulpina de ransomware, luați în considerare căutarea instrumentelor de decriptare. Există, de asemenea, instrumente gratuite pentru a ajuta la acest pas, inclusiv site-uri precum Nu mai renunțați. Pur și simplu introduceți numele tulpinii de ransomware și căutați decriptarea potrivită. 

Descărcați Ghidul definitiv pentru ransomware

Recuperare 

Dacă ați avut norocul să eliminați infecția cu ransomware, este timpul să începeți procesul de recuperare.

Începeți prin a vă actualiza parolele de sistem, apoi recuperați-vă datele din copii de rezervă. Ar trebui să încercați întotdeauna să aveți trei copii ale datelor dvs. în două formate diferite, cu o copie stocată în afara site-ului. Această abordare, cunoscută sub numele de regula 3-2-1, vă permite să vă restaurați datele rapid și să evitați plățile de răscumpărare. 

În urma atacului, ar trebui să luați în considerare și efectuarea unui audit de securitate și actualizarea tuturor sistemelor. Menținerea la zi a sistemelor ajută la prevenirea hackerilor să exploateze vulnerabilitățile găsite în software-ul mai vechi, iar corecțiile regulate vă mențin mașinile la curent, stabil și rezistent la amenințările malware. De asemenea, poate doriți să vă rafinați planul de răspuns la incident cu orice lecții învățate și să vă asigurați că ați comunicat incidentul suficient tuturor părților interesate necesare. 

Autoritățile de notificare 

Deoarece ransomware-ul este extorcare și o crimă, ar trebui să raportați întotdeauna atacurile ransomware oficialilor de aplicare a legii sau FBI. 

Autoritățile ar putea să vă ajute la decriptarea fișierelor dacă eforturile de recuperare nu funcționează. Dar chiar dacă nu vă pot salva datele, este esențial pentru ei să catalogheze activitatea infracțională cibernetică și, sperăm, să îi ajute pe alții să evite soarte similare. 

Unele victime ale atacurilor ransomware pot fi, de asemenea, obligate din punct de vedere legal să raporteze infecțiile cu ransomware. De exemplu, conformitatea cu HIPAA cere, în general, entităților din domeniul sănătății să raporteze orice încălcare a datelor, inclusiv atacuri de tip ransomware, către Departamentul de Sănătate și Servicii Umane.

Decizi dacă să plătească 

Decidând dacă să facă o plată de răscumpărare este o decizie complexă. Majoritatea experților sugerează că ar trebui să luați în considerare plata numai dacă ați încercat toate celelalte opțiuni și pierderea de date ar fi semnificativ mai dăunătoare decât plata.

Indiferent de decizia dvs., ar trebui să vă consultați întotdeauna cu oficialii de aplicare a legii și cu profesioniștii în securitate cibernetică înainte de a merge mai departe.

Plata unei răscumpărare nu garantează că vei recâștiga accesul la datele tale sau că atacatorii își vor ține promisiunile – victimele plătesc adesea răscumpărarea, doar ca să nu primească niciodată cheia de decriptare. În plus, plata răscumpărărilor perpetuează activitatea infracțională cibernetică și poate finanța în continuare infracțiunile cibernetice.

Prevenirea viitoarelor atacuri ransomware

Instrumentele de securitate pentru e-mail și software-ul anti-malware și antivirus sunt primele linii critice de apărare împotriva atacurilor ransomware.

Organizațiile se bazează, de asemenea, pe instrumente avansate de securitate endpoint, cum ar fi firewall-uri, VPN-uri și autentificare multi-factor ca parte a unei strategii mai ample de protecție a datelor pentru a se apăra împotriva încălcării datelor.

Cu toate acestea, niciun sistem de securitate cibernetică nu este complet fără capabilități de ultimă generație de detectare a amenințărilor și de răspuns la incidente pentru a prinde infractorii cibernetici în timp real și a atenua impactul atacurilor cibernetice de succes.

IBM Security® QRadar® SIEM aplică învățarea automată și analiza comportamentului utilizatorului (UBA) traficului de rețea alături de jurnalele tradiționale pentru o detectare mai inteligentă a amenințărilor și o remediere mai rapidă. Într-un studiu recent Forrester, QRadar SIEM i-a ajutat pe analiștii de securitate să economisească peste 14,000 de ore pe parcursul a trei ani, identificând fals pozitive, reducând timpul petrecut investigând incidente cu 90% și reducând cu 60% riscul de a se confrunta cu o încălcare gravă a securității.* Cu QRadar SIEM, echipele de securitate cu resurse solicitate au vizibilitatea și analiza de care au nevoie pentru a detecta rapid amenințările și pentru a lua măsuri imediate și informate pentru a minimiza efectele unui atac.

Aflați mai multe despre IBM QRadar SIEM

* Total Economic ImpactTM al IBM Security QRadar SIEM este un studiu comandat realizat de Forrester Consulting în numele IBM, aprilie 2023. Pe baza rezultatelor proiectate ale unei organizații compozite modelate de la 4 clienți IBM intervievați. Rezultatele reale vor varia în funcție de configurațiile și condițiile clientului și, prin urmare, rezultatele așteptate în general nu pot fi furnizate.